实现SSL网关多服务端证书支持的思路

最新推荐文章于 2023-08-09 18:43:59 发布
最新推荐文章于 2023-08-09 18:43:59 发布
阅读量895 收藏 2
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43939128/article/details/104629170
版权

所内国密SSL网关的项目面临一个这样的问题,用户希望该网关同时支持使用国密SSL证书和标准的RSA证书的客户端,即意味着服务端有多个服务端证书,同时要求客户端在使用国密SSL证书时启用国密SSL协议,在客户端使用RSA证书时使用标准的TLS1.2协议。

这个问题的根本即在于服务端如何根据客户端的证书类型,选择对应的服务端证书。

先定位范围,我们知道,根据SSL握手协议,在客户端向服务端发起ClientHello之后,服务端就要向客户端返回服务端证书。可知握手过程中是服务端先向客户端发送证书。所以,服务端要根据客户端所使用的证书类型来确定在该连接中使用国密证书还是RSA证书,在不改动TLS协议的前提下,只有通过扩展ClientHello请求来实现了。

事实上Apache这种支持多个Virutal Host的应用早就面临了类似问题,TLS的SNI扩展就是用来解决问题的。

https://en.wikipedia.org/wiki/Server_Name_Indication

SNI的原理就是通过扩展ClientHello消息,将客户端需要访问的HostName提前告知Apache服务器,使得服务器在SSL握手之前就了解到客户端要访问的HostName,随后选择相应的服务端证书发送给客户端。

网关的问题也可以通过类似方案解决,客户端在连接网关服务器之前是知道自己使用的那种类型的证书的,通过SNI扩展,在ClientHello阶段发送约定好的标志,网关根据标志来确定向客户端发送国密证书还是RSA证书。

myctime_43939128
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssl加速关_迪普科技行业实践:国密SSL加速方案助力业务安全、高效交付
weixin_39770311的博客
01-09 460
热点追踪中国人民银行在2020年02月05日发布《上银行系统信息安全通用规范》(JR/T 0068-2020)要求:“上银行系统在使用密码算法时应符合国家密码主管部门的要求,在支付敏感信息加密及传输、数字证书签名及验签等环节宜支持并优先使用SM系列密码算法。”由于电子银行开放性的特点,在面对交易等其他敏感类业务时,如果数据不进行加密而直接进行传输,还存在很大的信息泄露风险,常通过SS...
商用密码产品认证-IPSec/SSL关技术与产品
Lapedius的博客
12-25 5141
商用密码产品认证-VPN标准与产品产品概述1) IPSec VPN和SSL VPN2) 安全认证关3) 典型应用场景相关标准规范标准和产品应用要点1) VPN的标准和产品应用要点(1) 应使用商用密码算法进行密码运算。(2) 应结合具体密码协议,理解VPN产品的密钥体系结构。(3) 应注意IPSec VPN的数据报文封装模式(4) 应注意SSL VPN的工作模式(5) 应理解IPSec VPN中AH和ESP协议提供的安全功能。(6) 应注意对管理员的分权管理机制。2) 安全认证关的标准和产品应用要点 产
使用国密SSL证书实现SSL/TLS传输层国密改造
lavin1614
04-18 998
国密SSL证书工作机制和常用的国际算法RSA SSL证书一样,但采用我国自主设计的SM2椭圆曲线公钥算法体系,遵循我国国家标准和管理规范。沃通国密SSL证书是国密合规的SSL证书产品,遵循国家标准技术规范并参考国际标准,支持SM2/SM3/SM4国产密码算法和国密安全协议,兼容360浏览器、沃通国密浏览器、红莲花浏览器等主要国密浏览器,兼容安恒WAF等支持国密算法的络安全产品;采用自主可控密码技术保护数据机密性、完整性,防止数据在传输过程中被窃取或篡改,实现国密HTTPS加密通信以及服务器身份认证。
ssl加速关_SSL加速
weixin_35244067的博客
12-24 944
实现证书的集中管理•无需考虑IP地址,即可针对HTTP和HTTPS流量执行流量管理决策•BIG-IPSSLAccelerator400每秒钟400笔SSL交易;日交易量超过3400万笔•BIG-IPSSLAccelerator800-每秒钟750笔SSL交易;日交易量超过6400万笔•HTTP1.1兼容性•针对SSL流量的HTTPCookie持续性•针对SSL流量的HTTPCook...
安全防御------SSL VPN篇
m0_63292411的博客
08-09 5709
本篇文章详细地介绍了SSL协议的工作过程以及SSL VPN的相关知识,其中概括了SSL VPN的实现方式,功能,应用场景等。
物联关与服务的数据交换规范编制说明共6页.pdf
08-09
《物联关与服务的数据交换规范》是物联领域中一项重要的技术标准,它规定了物联设备(如关)与远程服务器之间的通信协议、数据格式以及交互流程,旨在确保不同厂商的产品能协同工作,实现数据的有效传输...
使用mina框架实现cmpp2.0服务
06-09
9. **扩展性**:设计服务架构时应考虑未来的扩展需求,如添加新的业务功能、支持更多的并发连接等。 通过上述步骤,可以构建一个稳定、高效的CMPP2.0服务。在实际应用中,可能还需要结合具体的业务场景,如短信...
联通SGIP1.2接口Java版实现(客户服务
10-23
此外,部署过程中可能会涉及到络配置、SSL证书服务器环境搭建等多个环节。如果"sgip_all"压缩包中包含部署指南或README文件,那么根据文件中的说明进行操作是十分必要的。如果遇到问题,开发者还可以参考博主的...
SGIP服务
03-01
SGIP服务是一种专用于中国联通关的模拟服务,它主要设计目的是为了帮助开发者测试和验证自编写的客户应用程序。在开发与通信络相关的软件时,这种模拟环境扮演着至关重要的角色,因为它允许程序员在实际部署...
浅谈NB-IOT关对接
05-19
COAP协议是NB-IOT平台支持的,当然NB终也需要支持。 五、NB-IOT平台插件 NB-IOT平台插件可以理解成终码流的翻译机。因为设备终上报或者接收消息都是使用码流的形式,插件可以将码流翻译成对应的具体含义。每...
华为SSL ***配置
weixin_33727510的博客
09-26 3033
1、登录防火墙https://IP:8443 2、接口添加到相应的区域、配置IP地址3、新建认证域:依次选择 “对象>用户>认证域”,在认证域列表点击“新建”4、新建认证域的名称ssl***,选择关联用户组后点击“确定”5、新建用户:在左侧菜单栏选择创建的认证域ssl ***,弹出页面后在“用户/用户组/安全管理列表”页面点击“新建”,选择“创建用户”6、输入登...
国密SSL通信协议详细介绍与抓包分析
ZHnDo的博客
01-04 4108
最近研究有关SSL协议的物联安全协议,看了很多资料并且结合TASSL在ubuntu上跑了一个简单的demo,因此有了一些自己的理解,那么就详细讲解一下我所知道的SSL,相信这一篇文章就可以让你全面了解SSL
国密SM2 Https服务器搭建--全最完整方案
u011893782的博客
06-09 1万+
参考资料4 详细分析了数据报文,实现方案也是采用大宝国密SDK。 参考资料 1、大宝CA doubleCAhttps://doubleca.com/test_toIndexPage.action 2、国密服务器开发https://github.com/mrpre/atls 3. TLS/SSL 协议详解 (29) 国密SSL协议(代码见参考文献2)https://blog.csdn.net/mrpre/article/details/78015580 4.国密SSL协议开发总结(附报文详细...
什么是国密ssl协议?部署国密ssl证书需要注意什么?
陕西省数字认证中心
07-21 607
通过此方案,任何用户使用任意浏览器都能正常访问站,满足部署国密SSL证书的合规需求,同时满足站可用性、易用性和全球通用性要求,解决了国密SSL应用的技术障碍。国密SSL协议包括握手协议、密码规格变更协议、报警协议、关到关协议和记录层协议。很多人听说过ssl证书ssl协议,但是国密ssl协议却是第一次听说。使用国密算法SSL证书的站点,在国密浏览器上可以正常访问,但由于国密算法还没有在所有主流浏览器中广泛兼容,因此一些仅支持国际算法的主流浏览器会对国密SSL证书报错。1、国密ssl协议的定义。...
国密浏览器如何完成SM2国密SSL协议协商
SSL加密技术
12-03 2391
国密浏览器需要遵循国密SSL协议规范GM/T 0024-2014。GM/T 0024-2014没有单独规范 SSL协议的文件,而是在SSL VPN技术规范中定义了国密SSL协议。国密SSL协议(SSL VPN协议)包括握手协议、密码规格变更协议、报警协议、关到关协议和记录层协议。握手协议用于身份鉴别和安全参数协商;密码规格变更协议用于通知安全参数的变更;报警协议用于关闭通知或对错误进行报警;...
什么是SSL安全认证关?
陕西省数字认证中心
06-13 786
SSL安全认证关是通过络层、应用层安全协议,集合ssl反向代理、隧道加密的高性能综合关,作用于数据传输安全问题。使用场景:当互联用户进行传输需要加密的敏感业务数据的时候,若平台没有做好数据传输和访问的安全防护,那么这些数据就较为容易的成为不法分子眼中的“待宰羔羊”随时都存在被窃取、篡改的风险。可以广泛的应用于金融、公安、教育、卫生及交通等行业。各单位密评建设和改造需求都可以满足。SSL安全认证关的特点:身份互认:基于数字证书技术,提供服务与客户的单双向认证功能,以及多种形式的证书透传功能。SS
Zuul性能测试
热门推荐
徐靖峰的专栏
04-08 2万+
环境准备采用三台阿里云服务器作为测试 10.19.52.8 部署关应用-gateway 10.19.52.9, 10.19.52.10 部署用于测试的业务系统 压测工具准备选用ab作为压力测试的工具,为了方便起见,直接将ab工具安装在10.19.52.8这台机 测试命令如下:ab -n 10000 -c 100 http://10.19.52.8:8080/hello/testOK?acc
SSL技术原理
曹世宏的博客
08-25 2万+
SSL详解 建议直接看这:https://cshihong.github.io/2019/05/11/SSL-VPN%E6%8A%80%E6%9C%AF%E5%8E%9F%E7%90%86/ SSL [虚拟专用络]的技术主要用到了SSL技术。有关SSL具体技术,可以参考: SSL/TLS协议详解 SSL [虚拟专用络]简介 SSL [虚拟专用络]是以SSL协议为安全基础的[虚拟专用络]远程接入技术,移动办公人员(在SSL [虚拟专用络]中被称为远程用户)使用SSL [虚拟专用络]可以安全
C 语言 https(SSL)客户简单实现
TRW777
03-25 1万+
一、相关知识 HTTP 客户用C语言实现就是通过SOCKET 链接通道,按照HTTP协议把数据包做装好,通过SOCKET连接通道,发送,接收。我们把收到的数据按协议,拆分开,再按我梦的意愿吧没部分数据展示或存储起来就可以了。HTTP协议:https://blog.csdn.net/weixin_38087538/article/details/82838762 HTTPS 应用百度百科的解释【HTTPS 主要由两部分组成:HTTP + SSL / TLS,也就是在 HTTP 上又加了一层处理加密信息的
socket服务添加ssl证书
最新发布
10-05
SSL证书的添加可以通过在Socket服务配置SSLContext来实现。在SSLContext中,可以加载服务证书并配置相应的参数。具体步骤如下: 1. 创建一个SSLContext实例: SSLContext sslContext = SSLContext....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值